AMP是否存在被注入风险? 看了这个基本查询方法,似乎对$sql么有做任何的过滤措施而是直接mysql_query查询了. public function _query($sql)
{
global $Config;
if(!$this -> MysqlConnect) Return false;
$this -> QueryStatus = '(0)';
$this -> Affected = 0;
if($Config['DebugSql']) $this -> SqlBug .= "\n". '<!--DebugSql: ' . $sql . '-->' . "\n";
$result = mysql_query($sql, $this -> MysqlConnect);
if (!$result) Return false;
$this -> Affected = mysql_affected_rows();
$this -> QueryStatus = '(ok)';
Return $result;
}
{
global $Config;
if(!$this -> MysqlConnect) Return false;
$this -> QueryStatus = '(0)';
$this -> Affected = 0;
if($Config['DebugSql']) $this -> SqlBug .= "\n". '<!--DebugSql: ' . $sql . '-->' . "\n";
$result = mysql_query($sql, $this -> MysqlConnect);
if (!$result) Return false;
$this -> Affected = mysql_affected_rows();
$this -> QueryStatus = '(ok)';
Return $result;
}
除非你把Config.php过滤关了、又不进行判断可能有风险了。
有问题欢迎随时反馈哈、
mysql_query 从内部实现上已经杜绝了已知的注入途径